Google Chrome: Entwickler dichten drei Lücken ab, arbeiten an Cookie-Schutz
Im Webbrowser Chrome wurden drei Sicherheitslücken entdeckt. Google arbeitet zudem an Mechanismen gegen Cookie-Diebstahl.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Google hat Updates für den Webbrowser Chrome veröffentlicht. Diesen Mittwoch schließen die Entwickler darin drei Sicherheitslücken. Das Risiko für Browser-Nutzerinnen und -Nutzer schätzen sie als hoch ein. Außerdem arbeiten Googles Entwickler an Mechanismen, die Cookie-Klau verhindern sollen.
In der Versionsankündigung schreiben Googles Programmierer, dass eine "unangemessene Implementierung" in der Javascript-Engine V8 die Sicherheit gefährde (CVE-2024-3156, kein CVSS-Wert, Risiko laut Google "hoch"). Im Programmcode zur Lesezeichenverwaltung (Bookmarks) können bösartige Akteure eine Use-after-free-Lücke missbrauchen, bei der bereits freigegebene Ressourcen erneut genutzt werden, wodurch ihr Inhalt undefiniert ist (CVE-2024-3158, kein CVSS-Wert, hoch).
Drei hochriskante Lücken in Chrome
Zudem kann in der Javascript-Engine V8 ein Zugriff außerhalb der vorgesehenen Grenzen missbraucht werden, was die Melder der Lücke, Edouard Bochin und Tao Yan, auf der Pwn2Own-Veranstaltung dieses Jahr vorgeführt haben. Alle drei Schwachstellenarten lassen sich in der Regel durch das Anzeigen einer manipulierten Webseite missbrauchen.
Die Schwachstellen bessern Googles Entwickler in den Versionen Chrome 123.0.6312.99 für Android, 123.0.6312.105 für Linux und 123.0.6312.105/.106/.107 für macOS und Windows aus- Die Extended Stable-Fassung bleibt weiterhin im 122er-Versionszweg und ist nun auf Stand 122.0.6261.156 für Mac und Windows aktuell.
Alles Up-to-date?
Ob der Browser schon auf dem aktuellen Stand ist, lässt sich im Versionsdialog prüfen. Der öffnet sich nach Klick auf das Browser-Menü, das sich hinter dem Symbol mit drei gestapelten Punkten rechts von der Adressleiste befindet, und dort dem weiteren Pfad über "Hilfe" – "Über Google Chrome".
(Bild: Screenshot / dmk)
Unter Linux findet die Softwareverwaltung der eingesetzten Distribution die aktualisierte Fassung. Da Browser wie Microsofts Edge auf Chromium basieren, sind sie ebenfalls von den Lücken betroffen und werden in Kürze Updates verteilen.
Cookie-Klau sinnlos machen
Google hat zudem das Problem erkannt, das durch Cookie-Diebstahl aufkommt: Sie enthalten Browser-Informationen und Nutzereinstellungen und können etwa Nutzerinnen und Nutzer angemeldet lassen. Sie sind daher ein begehrtes Ziel von Angreifern, die damit oftmals auf fremde Zugänge zugreifen und eine Mehrfaktor-Authentifizierung umgehen können. Malware und Infostealer haben es daher oftmals auch auf Cookies abgesehen.
In einem Blog-Beitrag erläutern Googles Entwickler nun, dass sie an einem Mechanismus arbeiten, den sie Device Bound Session Credentials (DBSC) nennen. Zielsetzung ist, einen offenen Webstandard zu schaffen, die Entwicklung findet in einem öffentlichen Github-Projekt statt. Authentifizierte Sitzungen (authentication sessions) sollen dadurch an das Gerät gebunden werden, von der aus die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos. Angreifer müssten lokal auf den attackierten Geräten vorgehen, was die Erkennung und das Aufräumen für Antivirus-Software und auf verwalteten Geräten erleichtere.
Der vorgestellte Mechanismus erinnert ein wenig an Passkeys: Sobald der Browser eine neue Session startet, erzeugt der ein neues Paar öffentlicher und privater Schlüssel lokal auf dem Gerät und nutzt das Betriebssystem, um den privaten Schlüssel geschützt abzulegen. Chrome will etwa Trusted Platform Modules (TPMs) zur Ablage nutzen. Die API ermöglicht Servern, eine Session mit dem öffentlichen Schlüssel zu verknüpfen und damit bestehende Cookies ergänzen oder erweitern und während der Session-Lebenszeit den Besitzbeweis des privaten Schlüssels anzufordern.
Anfangs werden wohl die Hälfte aller Chrome-Desktop-Nutzerinnen und -Nutzer DBSC nutzen können, schätzen die Entwickler anhand der Hardware-Unterstützung der vorhandenen Geräte. Um Nutzer ohne entsprechende Hardware zu unterstützen, könnte Google auch über die Unterstützung von Software-geschützten Schlüsseln nachdenken. Derzeit experimentieren die Programmierer mit einem DBSC-Prototyp mit einigen Nutzern der Chrome-Betaversion. Identity-Provider wie Okta und Browser-Anbieter wie Microsoft mit Edge hätten Interesse an DBSC gezeigt.
Am Mittwoch vor dem Osterwochenende hatten Googles Entwickler sieben Sicherheitslücken in dem Webbrowser Chrome abgedichtet. Eine davon galt ihnen als kritischer Bedrohungsgrad.
(dmk)
